Citrix ADC-anslutningsprogram (tidigare NetScaler) för Microsoft Sentinel
Citrix ADC-dataanslutningen (tidigare NetScaler) ger möjlighet att mata in Citrix ADC-loggar i Microsoft Sentinel. Om du vill mata in Citrix WAF-loggar i Microsoft Sentinel kan du läsa den här dokumentationen.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslut ellerattribut
Anslut ellerattribut | beskrivning |
---|---|
Log Analytics-tabeller | Syslog |
Stöd för regler för datainsamling | DcR för arbetsytetransformering |
Stöds av | Microsoft Corporation |
Exempel på frågor
De 10 främsta händelsetyperna
CitrixADCEvent
| where isnotempty(EventType)
| summarize count() by EventType
| top 10 by count_
Installationsanvisningar för leverantör
Kommentar
- Den här dataanslutningsappen är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat och som distribueras som en del av lösningen. Om du vill visa funktionskoden i Log Analytics öppnar du bladet Log Analytics/Microsoft Sentinel-loggar, klickar på Funktioner och söker efter aliaset CitrixADCEvent och läser in funktionskoden eller klickar här, den här funktionen mappar Citrix ADC-händelser (tidigare NetScaler) till ASIM för Avancerad säkerhetsinformationsmodell. Funktionen tar vanligtvis 10–15 minuter att aktivera efter installationen/uppdateringen av lösningen.
- Den här parsern kräver en visningslista med namnet
Sources_by_SourceType
i. Om du inte redan har skapat visningslistan klickar du här för att skapa.
ii. Öppna visningslistan
Sources_by_SourceType
och lägg till poster för den här datakällan.
iii. SourceType-värdet för CitrixADC är
CitrixADC
.
Mer information finns i den här dokumentationen
- Installera och registrera agenten för Linux
Normalt bör du installera agenten på en annan dator än den där loggarna genereras.
Syslog-loggar samlas endast in från Linux-agenter .
- Konfigurera loggarna som ska samlas in
Konfigurera de anläggningar som du vill samla in och deras allvarlighetsgrad.
Under Avancerade inställningar för arbetsytan Konfiguration väljer du Data och sedan Syslog.
Välj Använd nedanstående konfiguration på mina datorer och välj de anläggningar och allvarlighetsgraderna.
Klicka på Spara.
Konfigurera Citrix ADC för att vidarebefordra loggar via Syslog
3.1 Gå till fliken > Konfiguration Systemgranskning >> Syslog-servrar >
3.2 Ange Syslog-åtgärdsnamn.
3.3 Ange IP-adress för syslog-fjärrserver och port.
3.4 Ange transporttyp som TCP eller UDP beroende på din syslog-fjärrserverkonfiguration.
3.5 Mer information finns i Citrix ADC-dokumentationen (tidigare NetScaler).
- Kontrollera loggar i Microsoft Sentinel
Öppna Log Analytics för att kontrollera om loggarna tas emot med hjälp av Syslog-schemat.
Obs! Det kan ta upp till 15 minuter innan nya loggar visas i Syslog-tabellen.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.